пятница, 29 декабря 2017 г.

MadBit

MadBit Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отображается на экране с заголовком "madbit encryptor: Hello, you are encrypted!" и не сохраняется в текстовый файл. 
MadBit Ransomware

Содержание записки о выкупе:
***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<<
***After payment we will send you the decryption tool ,that will decrypt all your files.***
===FREE DECRYPTION AS GUARANTEE===
===Before paying you can send to us up to 1 files for free decryption===
Please note: that files must NOT contain valuable information and their total size must be less than 1Mb
=== Important information ===
YOUR COMPUTER UID : ***
COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru
================================================
***!WARNING!***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===

Перевод записки на русский язык:
*** !ВНИМАНИЕ! ***
*** ВАШ КОМПЬЮТЕР ИНФИЦИРОВАН ***
*** ВСЕ БАЗЫ ДАННЫХ, САЙТЫ И ДОМАШНИЕ ФАЙЛЫ ПОЛЬЗОВАТЕЛЕЙ ЗАШИФРОВАНЫ ***
================================================
>>> Вам надо заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам <<<
*** После оплаты мы отправим вам инструмент дешифровки, который дешифрует все ваши файлы. ***
=== БЕСПЛАТНОЕ ДЕШИФРОВАНИЕ КАК ГАРАНТИЯ ===
=== Перед оплатой вы можете прислать нам 1 файл для бесплатной дешифровки ===
Заметьте: файлы не должны быть содержать ценную информацию и быть меньше 1 Мб
=== Важная информация ===
ВАШ UID КОМПЬЮТЕРА: ***
КОПИРУЙ И ОТПРАВЬ ВАШ UID НА EMAIL : adaline.lowell.85@mail.ru
================================================
*** !ВНИМАНИЕ! ***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsProcessor.exe (Cmd.Exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adaline.lowell.85@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as MadBit)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 26 декабря 2017 г.

Rozlok

Rozlok Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на почту, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: enbild.exe или что попало. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 
Ещё один украинский вымогатель, пытающийся писать по-русски. 

Этимология названия: 
Название взято из логина почты вымогателей. 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Все ваши файлы и данные зашифрованны.Для дешифровки свяжитесь с нами : rozlok@protonmail.com .Чем дольше мы ждём-тем больше.Вам придёться заплатить.

Перевод записки на НОРМАЛЬНЫЙ русский язык:
Все ваши файлы и данные зашифрованы. Для дешифровки свяжитесь с нами: rozlok@protonmail.com . Чем дольше мы ждём, тем больше Вам придётся заплатить.

Translation into English:
All your files and data are encrypted. For decryption please contact us: rozlok@protonmail.com. The longer we wait, the more you will have to pay.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

Подробности по пропуску файлов и папок см. в статье Pulpe Ransomware.
Всё, по всей видимости, аналогично. 

Файлы, связанные с этим Ransomware:
Instruction.txt
<random>.exe
enbild.exe

Файлы-источники (позже тоже были зашифрованы):
enbild.exe.aes
enbild.exe_pass_123.zip.aes

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt
\ProgramData\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rozlok@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support + later Topic
 🚫 В 1-й теме помощи ошибочно назван как Vortex. 
 Thanks: 
 Пострадавшим из темы поддержки
 Alex Svirid
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tastylock CryptoMix

Tastylock CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: 1tasty.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > Tastylock Cryptomix  

К зашифрованным файлам добавляется расширение .tastylock

Примеры зашифрованных файлов:
30A877A2136A7E24D444157B15AE5D3C.tastylock
5ABF69D81E581666A4EAB15C2080F86E.tastylock
067CAA001A4D3B12F9F317001D5B1BFE.tastylock

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
All you files an encrypted!
For decrypt write DECRYPT ID to t_tasty@aol.com
YOU DECRYPT-ID-%s number
!!!ATTENTION!!!
Do not change!
Do not move files!
Do not use other programs (they do not work)!
You can lose your files if you do not follow the instructions!

Перевод записки на русский язык:
Все твои файлы зашифрованы!
Для дешифровки напиши DECRYPT ID на t_tasty@aol.com
Твой DECRYPT-ID-%s number
!!!ВНИМАНИЕ!!!
Не менять!
Не перемещайте файлы!
Не используйте другие программы (они не работают)!
Ты можешь потерять твои файлы, если ты не следуешь инструкциям!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
1tasty.exe
<random>.exe
BC8E11C52E.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
%ALLUSERSPROFILE%\BC8E11C52E.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  t_tasty@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это 900-й пост в блоге!!!

Pulpy

Pulpy Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные на сайтах с помощью AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на email вымогателей, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: 1d Ptin.exe или enbild.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: RSA2048Pro > Pulpy
, Rozlok

К зашифрованным файлам добавляется расширение .AES

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hi, all your files have been encrypted. You can decipher if you write to me on the mail:pulpy2@cock.li  Otherwise, all your files will be deleted within 2 days without any problems!

Перевод записки на русский язык:
Привет, все ваши файлы зашифрованы. Вы можете расшифровать, если напишите мне на почту: pulpy2@cock.li Иначе все ваши файлы удалятся через 2 дня без проблем!

Другой вариант записки о выкупе был немного короче:
Hi all your files are encrypted, to decrypt all your files write to us on the mail: pulpy@protonmail.ch

Перевод другой записки на русский язык:
Привет все ваши файлы зашифрованы, для дешифровки всех ваших файлов пишите нам на email: pulpy@protonmail.ch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

При поиске пропускаются папки, в имени которых есть: 
Program Files
ProgramData
C:\Users\All Users\Microsoft
AppData
C:\Drivers
Windows
WINDOWS
windows
\Desctop  - с ошибкой вместо Desktop, поэтому на реальном Рабочем столе файлы будут зашифрованы

При поиске пропускаются также файлы с расширениями: 
.aes, .ani, .CAB, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dmp, .drv, .hlp, .icl, .ico, .icons, .lnk, .mod, .msp, .msstyles, .ocx, .rtp, .settingcontent-ms, .sys, .SYS, .themepack и файлы bootmgrBOOTNXT

Не шифрует файлы, в имени которых есть:
Program Files
Windows
ProgramData
C:\Users\All Users\Microsoft
C:\Users\Default\AppData\Roaming\Microsoft
AppData\Local\Packages
AppData

Не шифруются файлы с расширениями: 
.accdb, .b2, .db, .dbf, .mdb, .mdf, .sdf, .sis и размером более 10 Мб.

Файлы, связанные с этим Ransomware:
Instruction.txt
1d Ptin.exe
enbild.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxx://gooool.org/fnu 
Email: pulpy2@cock.li 
pulpy@cock.li
pulpy@protonmail.ch
См. ниже результаты анализов.

Закрытый статичный RSA-ключ и текст записки:

Результаты анализов:
VirusBay ссылка >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ на сайт и файл >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 января 2018 / Update on January 26, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: dexp@cock.li
Содержание записки / Contents of note: 
Hi, All your files are encrypted. I can only help you, my mail: - Your personal number (send it to me): dexp@cock.li

Обновление от 30 января 2018 / Update on January 30, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: diesel@nuke.africa
Содержание записки / Contents of note: 
Hello, all your files are irrevocably encrypted, to restore the data write to me on the mail: diesel@nuke.africa send your personal ID: ***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Alex Svirid
 (victim in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 декабря 2017 г.

STOP

STOP Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA-1024, а затем требует выкуп в $600 в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .STOP

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!YourDataRestore!!!.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .STOP extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email stopfilesrestore@bitmessage.ch send us an email your !!!YourDataRestore!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
E-mail address to contact us:
stopfilesrestore@bitmessage.ch
Reserve email address to contact us:
stopfilesrestore@india.com

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .STOP зашифрованы.
Шифрование выполнено с уникальным секретным ключом RSA-1024, созданным для этого компьютера.
Чтобы расшифровать ваши файлы, вам нужно получить секретный ключ + программу дешифрования.
Чтобы получить секретный ключ и программу дешифрования, вам нужно связаться с нами по email stopfilesrestore@bitmessage.ch, пришлите нам d в вашем письме, пожалуйста, свой файл !!!YourDataRestore!!!.txt и дождитесь дальнейших инструкций.
Для вас, конечно, мы можем расшифровать ваши файлы - вы можете отправить нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в оригинальной форме БЕСПЛАТНО.
Цена для дешифровки $600, если вы обратитесь к нам за 72 часа.
Ваш личный идентификатор:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
Email-адрес для связи с нами:
stopfilesrestore@bitmessage.ch
Резервный email-адрес для связи с нами:
stopfilesrestore@india.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!YourDataRestore!!!.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: stopfilesrestore@bitmessage.ch
stopfilesrestore@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 10 февраля 2018 / Update on February 10, 2018:
Расширение / Extension: .STOP
Записка / Ransom note: !!!YourDataRestore!!!.txt
Email: stopfilesrestore@bitmessage.ch, stopfilesrestore@india.com
Сумма выкупа: $600

BTC: PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducdELub



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Losers-Dangerous

Losers-2 Ransomware

Losers-Dangerous Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название сами вымогатели окончательно не выбрали: в заголовке они назвали это как Damage Ransomware, а в тексте и на копирайте (внизу страницы) - это Dangerous Ransomware

Хотя на самом деле мы знаем, что это новая (переделанная) версия Losers Ransomware. Именно так, потому что используются те же email, BM, Tor-сайты, ссылка на видео по установке браузера Tor, как будто эта установка у кого-то вызывает трудности. 😃
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Nemesis ⟺ СryptON > Cry36Losers > Losers-Dangerous




К зашифрованным файлам добавляется расширение .wtf

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html


Содержание записки о выкупе:
Damage Ransomware | Instructions
---
Dangerous Ransomware 
To decrypt the files, you need to purchase special software Dangerous decryptor»
Restore the data, follow the instructions!
You can learn more / request
e-mail: dd.coala@protonmail.com
You can learn more/questions in the chat:
xxxx://kuysqebjbttaxmq2.onion.to (not need Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (not need Tor)
xxxx://kuysqebjbttaxmq2.onion/ (need Tor)
You can learn more problem out bitmessage:
https://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
If the resource is unavailable for a long time to install and use the terms of reference of the browser:
1. + Start the Internet browser
2. + Type or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. + On the website you will be prompted to download the Tor browser, download and install it. To work.
4. + Connection, click "connect" (using English version)
5. + After connecting, open a normal window Tor-browser
6. + Type or copy the address http://kuysqebjbttaxmq2.onion/ in the address bar of Tor-browser and press key ENTER
7. + Wait for the download site
+ If you have any problems with installation or usage, please visit the video:
xxxxs://youtu.be/gOgh3ABju6Q
8. Your personal identification ID: ***
© All rights reserved. Dangerous Ransomware 2017

Перевод записки на русский язык:
Damage Ransomware | Инструкции
---
Dangerous Ransomware 
Чтобы расшифровать файлы, вам надо приобрести специальную программу Dangerous decryptor»
Восстановите данные, следуйте инструкциям!
Вы можете узнать больше / спросить
e-mail: dd.coala@protonmail.com
Вы можете узнать больше / спросить в чате:
xxxx://kuysqebjbttaxmq2.onion.to (не нужен Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (не нужен Tor)
xxxx://kuysqebjbttaxmq2.onion/ (нужен Tor)
Вы можете узнать больше об ошибках в битмассе:
https://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
Если ресурс недоступен долгое время то установите и используйте  по инструкции браузер:
1. + Запустите интернет-браузер
2. + Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. + На веб-сайте вам будет предложено загрузить браузер Tor, загрузите и установите его. Работайте.
4. + Подключение, нажмите "connect" (в английской версии)
5. + После подключения откройте обычное окно Tor-браузера
6. + Введите или скопируйте адрес xxxx://kuysqebjbttaxmq2.onion/ в адресной строке Tor-браузера и нажмите клавишу ENTER
7. + Дождитесь загрузки сайта
+ Если у вас возникли проблемы с установкой или использованием, просмотрите видео: xxxxs://youtu.be/gOgh3ABju6Q
8. Ваш личный идентификационный ID: ***
© All rights reserved. Dangerous Ransomware 2017



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html
decryptor.exe
<random>.exe
<random>.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL в коде страницы: xxxx://auth-rambler.com/
TOR-URL: xxxx://kuysqebjbttaxmq2.onion
xxxx://kuysqebjbttaxmq2.onion.to
xxxxs://kuysqebjbttaxmq2.onion.cab
Email: dd.coala@protonmail.com
BitMessage: BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton